Estrutura Tuoni Aprimorada por IA Mira Grande Empresa Imobiliária dos EUA – Against Invaders

Estrutura Tuoni Aprimorada por IA Mira Grande Empresa Imobiliária dos EUA - Against Invaders

Uma tentativa de intrusão altamente avançada usando o emergente framework Tuoni C2 teve como alvo uma grande empresa imobiliária dos EUA em outubro de 2025.

O ataque, observado por Morphisec e descrito em um aviso publicado hoje, combinou engenharia social, esteganografia e execução em memória.

A campanha demonstra como atores de ameaça estão combinando ferramentas modulares de comando e controle (C2) com métodos de entrega assistida por IA para contornar defesas convencionais.

Engenharia Social como Ponto de Partida

Segundo a Morphisec, a operação provavelmente começou com um esquema de personificação do Microsoft Teams.

Atacantes parecem ter se passado por contatos confiáveis para persuadir um funcionário a usar uma frase maliciosa do PowerShell. Esse comando gerou um processo oculto do PowerShell e recuperou um script secundário de um servidor remoto. Pesquisadores notaram que o loader continha comentários scriptados e padrões de estruturação modular frequentemente associados a código gerado por IA.

Uma vez executado, o script baixava um arquivo BMP aparentemente inofensivo e utilizava técnicas de bit de menor significado (LSB) para extrair shellcode embutido. Essa abordagem esteganográfica ajudou a ocultar a carga útil do próximo estágio. O código extraído era então executado inteiramente na memória, evitando artefatos do disco.

Leia mais sobre execução em memória: Combatendo a Ameaça Invisível de Ataques Cibernéticos em Memória

Execução dinâmica e carregamento reflexivo

Em vez de fazer chamadas diretas à API que pudessem acionar ferramentas de segurança, o script compilava C# inline e usava invocação baseada em delegados via Marshal.GetDelegateForFunctionPointer. Essa indireção permitiu que a carga útil resolvesse e executasse funções dinamicamente, complicando a detecção.

O processo, no fim das contas, carregou TuoniAgent.dll de forma reflexiva sem deixar os indicadores tradicionais.

O próprio Tuoni é um framework modular pós-exploração que se comunica via HTTP, HTTPS ou SMB. Ele suporta um amplo conjunto de comandos de manipulação do sistema, escalonamento automático de privilégios para o SYSTEM e exportações ofuscadas que decodificam apenas durante a execução.

Seus dados de configuração, ocultos em uma seção de recursos codificados, apontavam para dois C2servers conectados à campanha.

Crescente uso de carregadores assistidos por IA

O incidente reflete várias tendências mais amplas na técnica dos atacantes. Grupos de ameaça estão adotando cada vez mais frameworks C2 gratuitos e bem documentados, como o Tuoni, que podem ser facilmente pareados com loaders personalizados.

Muitos desses loaders agora incorporam componentes de código gerado por IA, esteganografia e delegação dinâmica para evitar o monitoramento. Ferramentas tradicionais de antivírus e detecção e resposta (EDR) de endpoint enfrentam dificuldades com essas técnicas reflexivas e em memória, tornando cadeias modulares de entrega de C2 mais atraentes para atores de ameaça.

“O ataque Tuoni C2 demonstra como os atacantes estão utilizando IA e técnicas avançadas como esteganografia e execução em memória para evitar defesas tradicionais,”Morphisec disse Segurança da Informação.

“[Our] A Defesa Automatizada contra Alvos Móveis (AMTD) interrompeu o ataque antes da execução, ressaltando a importância das estratégias de prevenção em primeiro lugar. Com ferramentas como a Tuoni cada vez mais acessíveis, adotar imediatamente uma abordagem preventiva de defesa cibernética em primeiro lugar é essencial para se manter à frente dessas ameaças em evolução.”

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.